丁香五月亚洲,欧美孕妇XXX高清在线,国产中文资源,精品r视频在线

  1. 云科研首頁
  2. 科研百科

程序員攻防實(shí)戰(zhàn):linux下這樣隱藏進(jìn)程,簡(jiǎn)直太溜了,快用起來(linux 隱藏進(jìn)程)

投稿用戶 ? ? 科研百科 ? 閱讀 453

某些時(shí)候程序員為了防止其他人不小心或者惡意破壞掉你運(yùn)行的程序,或者我們要做些“見不得光”的事情,就有隱藏進(jìn)程的需求,目的是讓小白或者初級(jí)運(yùn)維無法通過相關(guān)命令工具查找到你的程序,達(dá)到隱藏目的。前兩天正好項(xiàng)目上需要用到隱藏進(jìn)程的需求,所以分析了下個(gè)人覺得目前比較好的做法。

linux下查看進(jìn)程的方法

ps命令

程序員攻防實(shí)戰(zhàn):linux下這樣隱藏進(jìn)程,簡(jiǎn)直太溜了,快用起來(linux 隱藏進(jìn)程)程序員攻防實(shí)戰(zhàn):linux下這樣隱藏進(jìn)程,簡(jiǎn)直太溜了,快用起來(linux 隱藏進(jìn)程)

top命令

程序員攻防實(shí)戰(zhàn):linux下這樣隱藏進(jìn)程,簡(jiǎn)直太溜了,快用起來(linux 隱藏進(jìn)程)

目前網(wǎng)上很多方法基本都是通過如下方式來達(dá)到進(jìn)程隱藏:

1.根據(jù)分組權(quán)限來實(shí)現(xiàn)不同用戶組查看不同的進(jìn)程權(quán)限。

2.修改內(nèi)核,將需要隱藏的進(jìn)程的進(jìn)程pid改為0(task->pid = 0),因?yàn)閜s,top命令不會(huì)顯示進(jìn)程id為0的進(jìn)程。

3.修改內(nèi)核,hook掉系統(tǒng)調(diào)用,在hook函數(shù)中修改邏輯判斷已達(dá)到隱藏進(jìn)程。

第一種如果追中人有管理員權(quán)限就沒有辦法隱藏了。第二三種需要懂內(nèi)核編程,有一定的技術(shù)門檻(實(shí)際上只要會(huì)點(diǎn)內(nèi)核還是很easy的),今天我們說下第四種辦法:在用戶態(tài)修改系統(tǒng)調(diào)用,從而隱藏進(jìn)程。

PS/TOP顯示進(jìn)程原理

strace命令是一個(gè)常用的代碼調(diào)試工具,它可以跟蹤到一個(gè)進(jìn)程產(chǎn)生的系統(tǒng)調(diào)用,包括參數(shù),返回值,執(zhí)行消耗的時(shí)間。因此對(duì)于調(diào)試程序出錯(cuò)是非常有用的。這里不過多展示strace的調(diào)試用法,具體可以查看詳細(xì)的strace命令。

我們看下ps,top是如何顯示進(jìn)程信息的:

strace ps

程序員攻防實(shí)戰(zhàn):linux下這樣隱藏進(jìn)程,簡(jiǎn)直太溜了,快用起來(linux 隱藏進(jìn)程)

strace top

程序員攻防實(shí)戰(zhàn):linux下這樣隱藏進(jìn)程,簡(jiǎn)直太溜了,快用起來(linux 隱藏進(jìn)程)

通過strace命令可以看出 ps,top等查看進(jìn)程的信息都是通過調(diào)用 readdir 方法遍歷 /proc 目錄來獲取進(jìn)程信息。每個(gè)動(dòng)態(tài)創(chuàng)建的進(jìn)程ID號(hào)下面詳細(xì)的記錄了關(guān)于該進(jìn)程的fd,mem,io,cpuset等進(jìn)程信息。

程序員攻防實(shí)戰(zhàn):linux下這樣隱藏進(jìn)程,簡(jiǎn)直太溜了,快用起來(linux 隱藏進(jìn)程)程序員攻防實(shí)戰(zhàn):linux下這樣隱藏進(jìn)程,簡(jiǎn)直太溜了,快用起來(linux 隱藏進(jìn)程)

既然進(jìn)程信息是proc目錄下動(dòng)態(tài)生成的,因此最顯而易見和最徹底的方法就是不讓proc下生成該進(jìn)程信息。通過查找代碼,定位到內(nèi)核通過fs/proc/base.c中的proc_pid_lookup查找進(jìn)程號(hào),然后由proc_pid_instantiate來在proc下創(chuàng)建該進(jìn)程號(hào)相關(guān)的進(jìn)程信息。因此我們只需要在proc_pid_lookup中匹配要過濾的進(jìn)程名,然后直接返回就行了,如下:

程序員攻防實(shí)戰(zhàn):linux下這樣隱藏進(jìn)程,簡(jiǎn)直太溜了,快用起來(linux 隱藏進(jìn)程)

內(nèi)核proc創(chuàng)建pid進(jìn)程信息

這種辦法徹底不創(chuàng)建該進(jìn)程信息,但是要修改編譯內(nèi)核,實(shí)際上是不太可取的。而我們目的也只是隱藏,不必完全屏蔽進(jìn)程信息。因此,有沒有一種辦法在用戶態(tài)通過劫持系統(tǒng)調(diào)用而忽略掉我們的進(jìn)程呢?

本來想著如何自己實(shí)現(xiàn)一個(gè)hook系統(tǒng)調(diào)用,但是本著絕不重復(fù)造輪子的工匠精神,瓶子哥嘗試搜羅了下,還真有現(xiàn)成的,即通過劫持readdir系統(tǒng)調(diào)用實(shí)現(xiàn)ps,top無法查找到進(jìn)程而達(dá)到隱藏進(jìn)程。

我們先實(shí)戰(zhàn),在看其實(shí)現(xiàn)原理。

1 . 實(shí)現(xiàn):

1) git clone https://github.com/gianlucaborello/libprocesshider.git

2) cd libprocesshider/ && make

3) cp libprocesshider.so /usr/local/lib/

4) echo /usr/local/lib/libprocesshider.so >> /etc/ld.so.preload

這一步也可以用export LD_PRELOAD=/usr/local/lib/libprocesshider.so來代替。

執(zhí)行命令上述命令前,運(yùn)行mtop進(jìn)程,ps可以查看到mtop的進(jìn)程。

程序員攻防實(shí)戰(zhàn):linux下這樣隱藏進(jìn)程,簡(jiǎn)直太溜了,快用起來(linux 隱藏進(jìn)程)

執(zhí)行上述命令后,ps 查看,可以發(fā)現(xiàn)已經(jīng)找不到該進(jìn)程了,而且 top,ls /proc/下面也不能找到該進(jìn)程,完美達(dá)到隱藏進(jìn)程。

程序員攻防實(shí)戰(zhàn):linux下這樣隱藏進(jìn)程,簡(jiǎn)直太溜了,快用起來(linux 隱藏進(jìn)程)

2. 原理:

我們查看processhider.c源碼可以發(fā)現(xiàn),原理上就是重寫了readdir的系統(tǒng)調(diào)用,因?yàn)闊o論ps,top,ls 都會(huì)調(diào)用readdir。

程序員攻防實(shí)戰(zhàn):linux下這樣隱藏進(jìn)程,簡(jiǎn)直太溜了,快用起來(linux 隱藏進(jìn)程)

而思路就是利用 LD_PRELOAD 來實(shí)現(xiàn)系統(tǒng)函數(shù)的劫持,程序在執(zhí)行外部庫函數(shù)調(diào)用的時(shí)候,會(huì)根據(jù)動(dòng)態(tài)庫的優(yōu)先級(jí)來加載庫函數(shù),linux下庫的加載順序?yàn)?etc/ld.so.preload( LD_PRELOAD)>/etc/ld.so.cache>/etc/ld.so.conf,當(dāng)程序調(diào)用外部庫的函數(shù),如果LD_PRELOAD里面有自定義和其他系統(tǒng)庫相同的庫函數(shù),則優(yōu)先加載我們自定義的函數(shù),這樣就達(dá)到了劫持系統(tǒng)函數(shù)的目的。

由于ps,top,ls 等幾乎所有的查看命令都基于readdir系統(tǒng)調(diào)用,所以能夠完美的隱藏掉進(jìn)程,對(duì)付一般的小白是完全夠用了。如果為了避免分析人員查找 /etc/ld.so.preload而定位到進(jìn)程,我們可以不創(chuàng)建ld.so.preload文件,而使用LD_PRELOAD宏來定義庫的路徑。例如將export LD_PRELOAD=/usr/local/lib/libprocesshider.so 放到linux系統(tǒng)啟動(dòng)過程中rc文件去加載,加大定位的難度。

程序員攻防實(shí)戰(zhàn):linux下這樣隱藏進(jìn)程,簡(jiǎn)直太溜了,快用起來(linux 隱藏進(jìn)程)

另外除去隱藏,還可以對(duì)執(zhí)行程序進(jìn)行運(yùn)行加密,常量字符串加密混淆,程序自動(dòng)銷毀等反追蹤等,后面我們?cè)僖灰挥懻摗?/p>

(每天一個(gè)實(shí)戰(zhàn)技能,感謝點(diǎn)贊、關(guān)注、轉(zhuǎn)發(fā)。)

版權(quán)聲明:本文內(nèi)容由互聯(lián)網(wǎng)用戶自發(fā)貢獻(xiàn),該文觀點(diǎn)僅代表作者本人。本站僅提供信息存儲(chǔ)空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如發(fā)現(xiàn)本站有涉嫌抄襲侵權(quán)/違法違規(guī)的內(nèi)容, 請(qǐng)發(fā)送郵件至 舉報(bào),一經(jīng)查實(shí),本站將立刻刪除。

(0)
上一篇 2023年5月11日 上午10:51
下一篇 2023年5月11日 上午11:07

相關(guān)推薦

  • 鑄造模擬軟件

    鑄造模擬軟件:從概念到應(yīng)用 鑄造是一種特殊的工藝,通過將熔融的金屬倒入模具中,形成所需的產(chǎn)品。這種工藝廣泛應(yīng)用于汽車、飛機(jī)、船舶等工業(yè)領(lǐng)域,也是一些大型基礎(chǔ)設(shè)施如橋梁、隧道等的建造…

    科研百科 2024年10月13日
    3

  • 悟空分身 免費(fèi)雙開應(yīng)用app(悟空分身免費(fèi)多開安卓下載)

    悟空分身可以讓用戶免費(fèi)雙開應(yīng)用,將微信及QQ進(jìn)行分身,用戶可登陸多個(gè)賬號(hào),同時(shí)接受多個(gè)設(shè)備的消息,還可設(shè)置通知白名單,讓消息可是即使通知,需要多開應(yīng)用的用戶快來下載吧。 軟件介紹 …

    科研百科 2023年5月10日
    303

  • 黨旗在基層一線高高飄揚(yáng)丨鍛造新時(shí)代先鋒隊(duì)伍——黨的十九大以來發(fā)展黨員和黨員教育管理工作綜述

    新華社北京6月30日電 題:鍛造新時(shí)代先鋒隊(duì)伍——黨的十九大以來發(fā)展黨員和黨員教育管理工作綜述 新華社記者丁小溪、范思翔 黨員是黨的肌體的細(xì)胞,是實(shí)現(xiàn)民族復(fù)興的先鋒戰(zhàn)士。 黨的十九…

    科研百科 2023年10月20日
    174

  • 裝修項(xiàng)目管理系統(tǒng)

    裝修項(xiàng)目管理系統(tǒng):讓裝修流程更高效 裝修項(xiàng)目管理系統(tǒng)是一種可以幫助裝修業(yè)主和裝修服務(wù)提供商進(jìn)行裝修項(xiàng)目管理的軟件。它通過自動(dòng)化裝修流程,提高裝修項(xiàng)目的效率和質(zhì)量,讓裝修流程更加規(guī)范…

    科研百科 2024年12月13日
    3

  • 威海信息系統(tǒng)項(xiàng)目管理

    威海信息系統(tǒng)項(xiàng)目管理 威海市位于中國(guó)山東半島的西北部,是一個(gè)歷史悠久、文化底蘊(yùn)深厚的城市。威海市擁有豐富的自然資源和人文歷史,但同時(shí)也面臨著信息技術(shù)的快速發(fā)展和挑戰(zhàn)。在這個(gè)背景下,…

    科研百科 2025年1月16日
    2

  • 長(zhǎng)沙小程序定制開發(fā):創(chuàng)新驅(qū)動(dòng)的未來之路(長(zhǎng)沙小程序制作公司)

    (此處已添加小程序,請(qǐng)到今日頭條客戶端查看) 在移動(dòng)互聯(lián)網(wǎng)時(shí)代的浪潮下,小程序成為了各行各業(yè)的新寵兒。而在湖南省的省會(huì)城市長(zhǎng)沙,小程序定制開發(fā)更是成為了最具前景和潛力的行業(yè)之一。今…

    科研百科 2024年5月11日
    46

  • 系統(tǒng)開發(fā)項(xiàng)目文檔管理

    系統(tǒng)開發(fā)項(xiàng)目文檔管理 系統(tǒng)開發(fā)項(xiàng)目文檔管理是系統(tǒng)開發(fā)過程中至關(guān)重要的一部分,它能夠幫助團(tuán)隊(duì)更好地跟蹤和管理項(xiàng)目進(jìn)度,確保項(xiàng)目能夠按時(shí)交付,并保證項(xiàng)目質(zhì)量。本文將探討系統(tǒng)開發(fā)項(xiàng)目文檔…

    科研百科 2024年12月25日
    3

  • 農(nóng)業(yè)項(xiàng)目管理平臺(tái)

    農(nóng)業(yè)項(xiàng)目管理平臺(tái): 助力農(nóng)業(yè)生產(chǎn)的數(shù)字化升級(jí) 隨著科技的不斷發(fā)展,農(nóng)業(yè)項(xiàng)目管理平臺(tái)已成為農(nóng)業(yè)生產(chǎn)中不可或缺的一部分。它是一種用于管理農(nóng)業(yè)生產(chǎn)項(xiàng)目的數(shù)字化工具,可以幫助農(nóng)民和農(nóng)業(yè)企業(yè)…

    科研百科 2024年9月18日
    4

  • 久久研究院

    久久研究院簡(jiǎn)介 久久研究院是一家專注于人工智能領(lǐng)域的研究機(jī)構(gòu),成立于2022年,總部位于中國(guó)北京市。研究院致力于人工智能領(lǐng)域的研究、開發(fā)和人才培養(yǎng),旨在為人工智能領(lǐng)域的技術(shù)創(chuàng)新和產(chǎn)…

    科研百科 2024年9月30日
    5

  • 車輛合同管理

    車輛合同管理 隨著車輛的普及,車輛合同管理已經(jīng)成為一個(gè)非常重要的問題。車輛合同管理可以幫助企業(yè)更好地管理車輛,提高效率,減少風(fēng)險(xiǎn)。在本文中,我們將探討車輛合同管理的重要性,以及如何…

    科研百科 2024年9月26日
    5
成人无码AV免费播放| pp 1级黄色片免费| 韩日毛片在线观看| 亚洲中文字幕久久久久久| 狠狠校园一区二区日韩| 男女啪啪激烈高潮喷出gif免费| 亚洲日韩在线看| 久久久中文字无码| 国产在线观看日韩精品| 人人操人人射人人摸| 国产极品美女精品精品精费的| 大象影视| 亚洲伊人成综合人影院青青青| 久久精品一本一区人人| 超碰V香焦| 国产一级牲交高潮片无码| 亚洲一区二区三区无码蜜| 久久AⅤ无码精品| 日韩免费黄色电影| 欧美色欲一区二区三区| 免费a级毛片无码久久版| av无码aV懂色aV天天爽| 亚洲五月天色色天堂| 日韩欧美一区精品| A级毛妇女一区| 欧美一区二区三区日本| 久久久久久午夜福利| 在线精品无码一区二区三区| 久久久久久久久国产| 成人免费性情在线视频| 精品国产午夜肉伦伦影院| 亚洲Va欧美va国产综合久久 | 欧美色a在线观看| 久久久久中文精品| 99久久国产综合| 国产亚洲精选美女久久久久| 大陆日韩在线| 伊人夜夜躁av伊人久久| 偷拍与自偷拍亚洲精品农村的| 67194亚洲熟妇| 天天影视色欲色香|